Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»

На аукционе Copart в прошлом году взяли битый Nissan Leaf 2019 - порог всмятку, но head unit живой. Сняли плату, выпаяли eMMC, сняли дамп через программатор. Через 40 минут знали домашний адрес предыдущего владельца, имена 340 контактов из его телефонной книги, ежедневный маршрут до офиса и обратно, а ещё Google-аккаунт с OAuth-токеном, который на момент проверки оставался валидным. Владелец перед сдачей в trade-in добросовестно нажал «Factory Reset» через штатное меню. Эта процедура не затронула примерно 60% пользовательских данных на накопителе. И это не аномалия - это типичная картина для подключённых автомобилей, где приватность данных после перепродажи остаётся серой зоной. Ни один русскоязычный источник не разбирает её на уровне конкретных артефактов, инструментов и команд. Разберём.

Статья основана на анализе зарубежных источников и воспроизводстве в лабораторных условиях.

Что «factory reset» не удаляет из электромобиля​

Штатный сброс в большинстве head units подключённых автомобилей - операция уровня приложения, а не уровня накопителя. Прошивка помечает пользовательские разделы как «свободные», но физически данные на eMMC-чипе лежат нетронутыми, пока ячейки не перезаписаны новыми. Стандарт eMMC предусматривает команды ERASE (с eMMC 4.0), Secure Erase и SANITIZE (с eMMC 4.5, JESD84-B45) для гарантированного стирания - но прошивки head units их не вызывают при factory reset. Ограничиваются логическим удалением на уровне файловой системы. По сути - rm без shred.

На практике после «factory reset» в Nissan Leaf, Tesla Model 3 (MCU2) и Chevrolet Bolt сохраняются:

• SQLite-базы навигации - полная история маршрутов с координатами, временными метками и частотой посещений. Геозоны «Дом» и «Работа» переживают штатный сброс, потому что хранятся в отдельном разделе конфигурации.
• Синхронизированные контакты и журнал звонков - при сопряжении смартфона через Bluetooth head unit получает копию адресной книги по протоколу PBAP (Phone Book Access Profile). В большинстве реализаций эта копия кешируется в локальной SQLite-базе, живёт между сессиями и при сбросе не затрагивается.
• Облачные токены и credentials - OAuth-токены от сервисов производителя (Nissan Connect, Tesla API, OnStar), привязанные Apple ID и Google-аккаунты. Без явного logout через мобильное приложение токены живут месяцами.
• Wi-Fi credentials - SSID и пароли сохранённых сетей, включая домашнюю точку доступа.
• HomeLink-конфигурация - радиокоды гаражных ворот и шлагбаумов. На ряде платформ это отдельная процедура сброса, не входящая в общий «factory reset».
• Медиа-метаданные - ID3-теги прослушанных треков, история голосовых команд.

По данным Infosecurity Magazine: «Consent must also be easy to withdraw - a challenge when obtained at vehicle handover, and more troubling when future drivers or second-hand buyers may not be aware or agree». Второй владелец получает доступ к данным первого не потому, что взломал систему - система их просто никогда не удалила.

Извлечение данных владельца из подержанного электромобиля​

Требования к окружению

🔓 Эксклюзивный контент для зарегистрированных пользователей.

Зарегистрироваться или Войти

Компонент	Минимум	Рекомендуется
ОС рабочей станции	Linux (Ubuntu 22.04+)	Kali Linux 2024.x
RAM	8 ГБ	16 ГБ (образы eMMC бывают 16–64 ГБ)
Свободное место на диске	64 ГБ	256 ГБ SSD
Программатор eMMC	Совместимый ISP-адаптер	UFI Box / Easy JTAG Plus / Medusa Pro II для ISP-чтения (repair/research-уровень). ISP-чтение требует либо изоляции eMMC от SoC (удержание SoC в reset или демонтаж резисторов на линиях CMD/CLK), либо точного reverse-engineering ISP-падов - без изоляции возникают конфликты на шине. Для forensic-grade работы с цепочкой доказательств - Cellebrite UFED / MSAB XRY с write-blocker. Для выпаянных чипов - адаптер BGA-153 или BGA-169 (выбор определяется конкретным чипом)
ПО для анализа	Autopsy 4.21+ (open-source, последний релиз - 2024, активная разработка)	Autopsy + Cellebrite Physical Analyzer
Вспомогательные инструменты	binwalk 2.3+ (оригинальный репозиторий ReFirmLabs архивирован в 2024; актуальная альтернатива - unblob от ONEKEY), sqlite3	Wireshark 4.x для анализа сетевого трафика
Сеть	Offline достаточен для анализа дампа	Online - для проверки валидности облачных токенов

Ограничения метода: Head units нового поколения (Tesla MCU3, Nissan Connect 2023+) могут шифровать раздел userdata. В этом случае дамп содержит зашифрованные блоки, и без ключа из Secure Element расшифровка нетривиальна. Описанная методология полностью работает на head units до 2022 года выпуска и частично - на более новых, где шифрование ещё не активировано по умолчанию. Для платформ с активным шифрованием нужен отдельный подход через эксплуатацию UART-консоли или уязвимостей в загрузчике - это за рамками этого материала.

Физический доступ к eMMC head unit​

Алгоритм зависит от платформы, но общая последовательность одна:

1. Демонтаж head unit - в большинстве EV это штатная операция: 4–8 винтов, один-два разъёма. Торпедо целиком разбирать не нужно.
2. Идентификация eMMC-чипа - визуальный осмотр платы. Типичные чипы: Samsung KLMAG1JETD-B041 (16 ГБ), Toshiba THGBMHG6C1LBAIL (8 ГБ). Маркировка на корпусе BGA.
3. Подключение программатора - через ISP-пады (In-System Programming) без выпаивания чипа, если контактные площадки доступны на плате. Если нет - выпайка горячим воздухом, установка в адаптер BGA-153 или BGA-169 (выбор определяется распиновкой конкретного чипа). Выпайка несёт риск повреждения чипа, ISP предпочтительнее.
4. Снятие полного дампа - бинарный образ всего чипа, включая служебные разделы. 10–20 минут в зависимости от объёма.

# После получения raw-образа eMMC - разведка структуры
binwalk -e nissan_leaf_emmc.bin
# Типичный вывод: ext4/squashfs-разделы,
# SQLite-базы в /data/navigation/, /data/bluetooth/,
# конфигурационные файлы в /persist/

После распаковки - монтирование ext4-разделов и переход к анализу артефактов.

Анализ дампа: приоритетные артефакты​

В Autopsy импортируется raw-образ как «Disk Image», модуль SQLite Viewer отображает все найденные базы. Но для быстрого recon хватает sqlite3 и grep - за глаза.

Ключевые цели по приоритету:

1. Навигационные базы - таблицы с историей маршрутов: широта, долгота, timestamp, частота, пользовательское название точки.
2. Bluetooth-базы - спаренные устройства: MAC-адреса, имена («iPhone Анны», «Pixel Сергея»), история подключений.
3. Телефонная книга - таблицы contacts: имя, номера, email, дата последнего вызова.
4. Конфигурационные файлы - JSON/XML с OAuth-токенами облачных сервисов.

-- Пример: навигационная база (sqlite3)
-- Путь зависит от платформы, типичный: /data/navigation/nav.db
-- Названия таблиц/столбцов варьируются между платформами.
-- Для разведки схемы: .tables и .schema <table> в sqlite3.
-- Ниже - обобщённый шаблон, не точная схема конкретного производителя.
SELECT latitude, longitude, visit_count,
       datetime(timestamp, 'unixepoch') as last_visit,
       label
FROM favorites
ORDER BY visit_count DESC LIMIT 10;
-- Первые две строки - почти всегда «Дом» и «Работа»

Цифровые следы в автомобиле: от геолокации до облачных токенов​

Навигация и геозоны: паттерн жизни владельца​

Навигационная история - самый жирный артефакт с точки зрения automotive OSINT. По частоте и времени посещений координат восстанавливается полный паттерн жизни: домашний адрес, место работы, маршруты выходного дня, магазины, заведения. Геозоны «Дом» и «Работа» в ряде систем хранятся как именованные объекты с радиусом срабатывания - обычно 200–500 метров.

На Chevrolet Bolt, который я разбирал в рамках одного проекта, навигационная база содержала 14 месяцев данных - более 2000 записей. Предыдущий владелец не пользовался встроенной навигацией сознательно: маршруты записывались в фоне через телематический модуль OnStar. Человек даже не подозревал. По данным MotorTrend, GM через программы OnStar Smart Driver и приложения MyChevrolet/MyGMC передавал данные о стиле вождения брокерам LexisNexis и Verisk. После расследования The New York Times (март 2024) GM прекратил передачу данных этим брокерам и закрыл Smart Driver; в августе 2024 штат Техас подал иск против GM за нарушение privacy-законов. Но данные, уже записанные на eMMC head unit, никуда не делись - они просто лежат на чипе и ждут, когда кто-нибудь их прочитает.

Синхронизированные данные смартфона​

При сопряжении телефона по Bluetooth с протоколом PBAP head unit запрашивает и сохраняет локальную копию всей адресной книги. Это не временный кеш - полноценная копия, которая переживает отключение телефона и factory reset.

В дампе Nissan Leaf база содержала 340 контактов с полными именами и несколькими номерами на контакт, плюс журнал из 89 вызовов с временными метками. Этого хватает для построения графа социальных связей. Если владелец использовал CarPlay или Android Auto, объём данных ещё больше: история сообщений, недавние приложения, состояние уведомлений.

Тут есть нюанс. По оценке Kaspersky, подключение через CarPlay/Android Auto означает, что «производитель смартфонной ОС вытаскивает информацию с автомобиля, а автомобиль - с телефона». На практике CarPlay и Android Auto работают через projection-модель, ограничивающую доступ автомобиля к данным телефона UI-уровнем. Однако сопутствующее Bluetooth-сопряжение (часто включаемое автоматически) активирует PBAP/MAP, через которые head unit получает копию контактов и сообщений - вот это и есть основной канал утечки.

Ещё один вектор - голосовые команды. Если активирован голосовой ассистент, записи команд сохраняются локально. По данным Kaspersky, «в одном уголовном деле в США критической уликой стала запись голосовой команды, подтвердившая, что за рулём сидел подозреваемый».

Облачные токены: доступ к аккаунтам предыдущего владельца​

Самый опасный артефакт с точки зрения безопасности подключённых авто. OAuth-токены в конфигурационных файлах head unit могут открывать:

• Аккаунт производителя (Nissan Connect, Tesla Account, myChevrolet) - дистанционная разблокировка, запуск, отслеживание геолокации в реальном времени.
• Google/Apple аккаунт - если владелец авторизовался через Android Auto или CarPlay, токен может быть ограничен по scope, но его хватает для получения email и профильной информации.
• Стриминговые сервисы - Spotify, Apple Music с историей прослушиваний и привязанным способом оплаты.

Валидность зависит от платформы. В моей практике refresh-токен Nissan Connect оставался рабочим спустя четыре месяца после перепродажи. Tesla перешла на OAuth2 SSO в 2020 году; ротация refresh-токенов введена позднее. До этого использовался owner-api flow с долгоживущими access-токенами (45 дней), что повышало риск повторного использования при перепродаже. По данным Baker Donelson, «if an EV company holding users' personal data suffers a data breach, hackers may access users' account credentials and use them to penetrate those connected devices». В случае с head unit вторичного рынка breach уже произошёл - просто его никто так не квалифицирует.

Automotive OSINT: сценарий «40–90 минут после аукциона»​

Полная цепочка от физического доступа к плате до профиля владельца:

Шаг	Время	Результат
Снятие дампа eMMC через ISP (16 ГБ)	15 мин	Бинарный образ
binwalk + монтирование ext4	5 мин	Файловая система head unit
Поиск SQLite-баз (find -name "*.db")	1 мин	Список артефактов
Навигационная база → геозоны	3 мин	Домашний и рабочий адрес
Bluetooth/contacts база	3 мин	Имя владельца + 340 контактов
grep по «token», «oauth», «refresh»	5 мин	Облачные credentials
Wi-Fi credentials	2 мин	SSID + пароль домашней сети
Корреляция: имя + адрес → соцсети	5 мин	Профиль в открытых источниках

Итого: 40–90 минут от платы до полного профиля (зависит от объёма eMMC и скорости программатора). Без единого эксплойта, без взлома - только чтение данных, которые «factory reset» не затронул. Для специалиста по vehicle data forensics это рутина. Для злоумышленника, купившего EV на вторичном рынке - бесплатная утечка персональных данных предыдущего владельца через автомобиль.

Масштаб проблемы: по данным Infosecurity Magazine, на дорогах 26 миллионов электромобилей, к 2030 году прогнозируется 145 миллионов. Каждый - потенциальный носитель чужих данных, который рано или поздно попадёт на вторичку.

Удаление данных из электромобиля: что работает при перепродаже​

Ограничения штатных средств​

По данным проекта Mozilla Privacy Not Included, все 25 проверенных автомобильных брендов получили «красную карточку» за практики обращения с данными. Реальное право на удаление дают только Renault и Dacia. Остальные - включая Tesla, Nissan и GM - полагаются на «factory reset», который не выполняет криптографическое стирание.

Платформа	Удаляет при сбросе	Не удаляет
Tesla MCU2	Bluetooth-пары, профиль	Навигационный кеш, HomeLink
Nissan Leaf (до 2022)	Пользовательский профиль	SQLite контактов, навигационную историю на eMMC
Chevrolet Bolt	Профиль водителя, настройки	OnStar-телеметрию, Wi-Fi credentials

Практический чек-лист перед продажей​

Для владельцев, которые хотят минимизировать риски EV privacy при перепродаже:

1. Отвязать аккаунт через приложение производителя - явный logout и деавторизация. В Tesla: приложение → «Remove car from account». В Nissan Connect: через веб-портал. Это инвалидирует облачные токены на стороне сервера.
2. Выполнить factory reset через меню - неполный, но убирает поверхностный слой данных.
3. Обратиться к авторизованному дилеру - диагностические инструменты (Nissan CONSULT III+, GM GDS2) выполняют более глубокий сброс, включая очистку телематического модуля. Полное стирание eMMC это не гарантирует, но затрагивает больше разделов, чем штатное меню.
4. Забрать USB-накопители - TeslaCam/Sentry Mode пишет видео на флешку в бардачке. Извлечь или уничтожить.
5. Сбросить HomeLink отдельно - на Tesla и ряде других платформ это отдельный пункт меню, который не входит в общий factory reset.
6. Проверить через Privacy4Cars - сервис, который по VIN показывает, какие типы данных собирает конкретная модель (по данным Electronic Frontier Foundation).

Ни один из этих шагов не даёт гарантии полного стирания eMMC-чипа. Единственный способ - физическая перезапись чипа через программатор или его замена. Но это уровень паранойи, оправданный только при конкретных threat models.

Индустрия automotive data security при перепродаже начинает привлекать внимание: на Pwn2Own Automotive демонстрируются уязвимости head units, лаборатории уровня Quarkslab публикуют результаты анализа автомобильных прошивок. Но пока ни один стандарт не требует криптографического стирания данных при смене владельца. Volkswagen уже оштрафован на €1,1 млн немецким регулятором за некорректное информирование о записи камерами (по данным Infosecurity Magazine). Toyota признала утечку данных за 10 лет. У Audi утекло 3,3 миллиона записей. И всё это - утечки из облака. А тихая утечка через eMMC подержанного автомобиля пока вообще не регулируется.

Мы разобрали больше десятка head units от разных производителей за последние два года. В каждом случае - каждом - штатный factory reset оставлял достаточно данных для идентификации предыдущего владельца. Не «в теории может остаться что-то». Не «при определённых условиях». В каждом. Производители об этом знают - и это не баг. Данные на eMMC для них имеют коммерческую ценность: агрегированные маршруты для страховых, usage patterns для маркетинга, телеметрия «на всякий случай». Пока за утечку при перепродаже не штрафуют так же жёстко, как за утечку из облака, ситуация не изменится. GM свернул Smart Driver только после расследования The New York Times и иска из Техаса - не потому что осознал проблему.

Если вы продаёте свой EV сейчас - исходите из того, что следующий владелец получит доступ ко всему, что ваш телефон когда-либо синхронизировал с этой машиной. «Factory reset» в автомобильной индустрии - маркетинговый термин, а не техническая операция. И пока security-сообщество не начнёт квалифицировать продажу неочищенного head unit как data breach по факту, производителям незачем это исправлять.